【文章內(nèi)容簡介】 ? 能夠在統(tǒng)一安全策略下，抵御來自外部有組織的團(tuán)體、擁有較為豐富資源的攻擊，防范較為嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對 主要資源造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞和安全事件；具有一定的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠 較快恢復(fù)絕大部分功能 。 第四級信息系統(tǒng) ? 能夠在統(tǒng)一安全策略下，抵御來自敵對組織的、擁有豐富資源的攻擊，防范嚴(yán)重的自然災(zāi)難、內(nèi)部人員惡意行為、操作失誤、技術(shù)故障等對 資源 造成的損害，能夠及時監(jiān)測發(fā)現(xiàn)安全漏洞、跟蹤處置安全事件；具有較強(qiáng)的備份恢復(fù)能力，在系統(tǒng)遭到損害后，能夠迅速恢復(fù)所有功能 。 等級保護(hù)的基本要求 基本要求是什么？ 安全保護(hù)能力的一個基本 “ 標(biāo)尺 ” ，是一個達(dá)標(biāo)線； 滿足基本要求意味著信息系統(tǒng)具有相應(yīng)等級的基本安全保護(hù)能力，達(dá)到了一種基本的安全狀態(tài)。 基本要求是安全保護(hù)的出發(fā)點(diǎn)，不是終點(diǎn)。 GB/T222392022 ?《 信息系統(tǒng)安全等級保護(hù)基本要求 》 基本要求的定位 ? 《 基本要求 》 中相應(yīng)等級的要求是根據(jù)各等級系統(tǒng)需要對抗的威脅和應(yīng)具備的能力而確定的。判斷基本要求是否達(dá)到應(yīng)按此原則分析。 ? 《 基本要求 》 給出了各級信息系統(tǒng)每一保護(hù)方面需達(dá)到的要求，但不是具體的安全建設(shè)整改方案或作業(yè)指導(dǎo)書，實(shí)現(xiàn)基本要求的措施或方式并不局限于 《 基本要求 》 給出的內(nèi)容，要結(jié)合系統(tǒng)自身的特點(diǎn)綜合考慮采取的措施來達(dá)到基本要求提出的保護(hù)能力 《 基本要求 》 定位舉例 ?A點(diǎn) —— B點(diǎn)， 500KM 5H ? 飛機(jī) OK ? 火車 OK ? 汽車 OK ? 自行車 NO 等級保護(hù)的基本要求 ? 內(nèi)容與作用 ? 為信息系統(tǒng)主管和運(yùn)營、使用單位提供 技術(shù)指導(dǎo) ? 為測評機(jī)構(gòu)提供 測評依據(jù) ? 為監(jiān)管職能部門提供 監(jiān)督檢查依據(jù) ? 適用環(huán)節(jié) ? 建設(shè)整改、驗(yàn)收、測評、運(yùn)維、檢查 基本要求的描述模型 ? 控制點(diǎn)標(biāo)注 ? 業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為 S） ? 系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為 A） ? 通用安全保護(hù)要求（標(biāo)記為 G） ? 技術(shù)要求（ 3種標(biāo)注） ? 管理要求（統(tǒng)屬 G） 系統(tǒng)基本保護(hù)要求的組合 ? 第一級 S1A1G1 ? 第二級 S1A2G2， S2A2G2， S2A1G2 ? 第三級 S1A3G3， S2A3G3， S3A3G3， S3A2G3，S3A1G3 ? 第四級 S1A4G4， S2A4G4， S3A4G4， S4A4G4，S4A3G4， S4A2G4， S4A1G4 如何實(shí)現(xiàn) ?落實(shí)信息安全等級保護(hù)基本要求，確保系統(tǒng) 基本安全 ； ?結(jié)合系統(tǒng)自身安全需求，力求系統(tǒng) 相對安全 。 《 基本要求 》 的文檔結(jié)構(gòu) 物理安全 技術(shù)要求 管理要求 基本要求 網(wǎng)絡(luò)安全 主機(jī)安全 應(yīng)用安全 數(shù)據(jù)安全及備份恢復(fù) 安全管理制度 安全管理機(jī)構(gòu) 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 類 安全建設(shè)基本流程 信息系統(tǒng)安全管理建設(shè) 信息系統(tǒng)安全技術(shù)建設(shè) 開展信息系統(tǒng)安全自查和等級測評 信息系統(tǒng)安全需求分析 /相應(yīng)級別的要求 確定安全策略，制定安全建設(shè)方案 物 理 安 全 網(wǎng) 絡(luò) 安 全 主 機(jī) 安 全 應(yīng) 用 安 全 數(shù) 據(jù) 安 全 安全管理機(jī)構(gòu) 安全管理制度 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)行管理 信息系統(tǒng)安全技術(shù)體系設(shè)計(jì) 物理安全設(shè)計(jì) 數(shù)據(jù)安全設(shè)計(jì) 備份與恢復(fù) 應(yīng)用系統(tǒng) 應(yīng)用平臺 其他安全設(shè)計(jì) 機(jī)房 辦公環(huán)境 設(shè)備和介質(zhì) 網(wǎng)絡(luò)安全設(shè)計(jì) 通信網(wǎng)絡(luò) 區(qū)網(wǎng)邊界 主機(jī)安全設(shè)計(jì) 應(yīng)用安全設(shè)計(jì) 服務(wù)器 工作站 其他安全設(shè)計(jì) 其他安全設(shè)計(jì) 其他安全設(shè)計(jì) 《 基本要求》中的安全保護(hù)技術(shù) ? 身份鑒別 ? 訪問控制 ? 安全審計(jì) ? 數(shù)據(jù)完整性 ? 數(shù)據(jù)保密性 ? 數(shù)據(jù)可用性 ? 病毒防范 ? 入侵檢測 ? 安全監(jiān)控 ? 備份與恢復(fù) ? 密碼使用 ? 等等 《 基本要求》中的安全保護(hù)技術(shù) ? 確定安全策略 ? 落實(shí)信息安全責(zé)任制 ? 建立安全組織機(jī)構(gòu) ? 加強(qiáng)人員管理 ? 加強(qiáng)系統(tǒng)建設(shè)的安全管理 ? 加強(qiáng)運(yùn)行維護(hù)的安全管理 安全技術(shù)要求 物理安全 ? 物理安全是指對信息系統(tǒng)所涉及到的 主機(jī)房、輔助機(jī)房、辦公環(huán)境 等進(jìn)行物理安全保護(hù)。具體關(guān)注內(nèi)容包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面 安全技術(shù)要求 物理安全 序號 安全關(guān)注點(diǎn) 一級 二級 三級 四級 1 物理位置的選擇 0 1 2 2 2 物理訪問控制 1 2 4 4 3 防盜竊和防破壞 2 5 6 6 4 防雷擊 1 2 3 3 5 防火 1 1 3 3 6 防水和防潮 2 3 4 4 7 防靜電 0 1 2 3 8 溫濕度控制 1 1 1 1 9 電力供應(yīng) 1 2 4 4 10 電磁防護(hù) 0 1 3 3 合計(jì) 9 19 32 33 安全技術(shù)要求 網(wǎng)絡(luò)安全 ? 網(wǎng)絡(luò)安全是指對信息系統(tǒng)所涉及的 通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)區(qū)域和網(wǎng)絡(luò)設(shè)備 等進(jìn)行安全保護(hù)。具體關(guān)注內(nèi)容包括通信過程數(shù)據(jù)完整性、通信過程數(shù)據(jù)保密性、保證通信可靠性的設(shè)備和線路冗余、區(qū)域網(wǎng)絡(luò)的邊界保護(hù)、區(qū)域劃分、身份認(rèn)證、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備自身保護(hù)和網(wǎng)絡(luò)的網(wǎng)絡(luò)管理等方面 安全技術(shù)要求 網(wǎng)絡(luò)安全 序號 安全關(guān)注點(diǎn) 一級 二級 三級 四級 1 網(wǎng)絡(luò)結(jié)構(gòu)安全 3 4 7 7 2 網(wǎng)絡(luò)訪問控制 3 4 8 4 3 網(wǎng)絡(luò)安全審計(jì) 0 2 4 6 4 邊界完整性檢查 0 1 2 2 5 網(wǎng)絡(luò)入侵防范 0 1 2 2 6 惡意代碼防范 0 0 2 2 7 網(wǎng)絡(luò)設(shè)備防護(hù) 3 6 8 9 合計(jì) 9 18 33 32 安全技術(shù)要求 主機(jī)安全 ? 主機(jī)安全是指對信息系統(tǒng)涉及到的 服務(wù)器和工作站 進(jìn)行主機(jī)系統(tǒng)安全保護(hù)。具體關(guān)注內(nèi)容包括操作系統(tǒng)